【RecordedFuture】情报手册系列
🗒️

【RecordedFuture】情报手册系列

Created
Apr 19, 2023 08:31 AM
Tags
威胁情报
年份
链接
 

第四版

这份报告的主要内容是建立一个以情报为基础的安全计划,并涵盖了安全团队的情报概述、特定应用和工作流程,以及管理和实施问题,如使用情报评估风险、证明投资、建立情报团队等。此外,该文件强调了组织需要转向以情报为基础的安全计划,以预测对手、监测其建筑基础设施并从遭受侵害的组织中学习。该书涵盖了多个主题,如SecOps Intelligence、Vulnerability Intelligence、Brand Intelligence、Geopolitical Intelligence、Fraud Intelligence、Identity Intelligence、Attack Surface Intelligence、风险管理、情报分析框架以及情报数据源/类型等。

前言

这数字化加速和全球大流行加剧了内部、客户和供应链操作的数字化,但同时也让网络安全威胁加剧了。现有的防御策略已经不起作用,防御者必须切换到攻击模式,采用智能驱动的安全方案,预测对手和他们的意图,并从受攻击的组织中获取经验教训。Recorded Future介绍了三个新的情报模块,分别是身份情报、诈骗情报和攻击面情报,并强调情报在安全中的重要性,以及智能情报的实现需要整合既有的解决方案和工作流程。总的来说,这部分强调了数字化时代下的网络安全挑战和情报驱动的应对策略。

第一部分:安全团队的情报是什么?

第1章:安全团队的情报是什么?

理解为什么情报对安全团队很重要
回顾成功情报计划的特征
了解谁从使用情报中获益。
 

在攻击发生之前了解威胁

网络威胁有多种形式。有外部的威胁、内部的威胁和供应链等等。
当分析师观察到这些威胁的迹象时,可能已经太晚了。
为了防止损害,您需要预先警告威胁,并附有可操作的事实,以便:
在最严重的漏洞被利用之前,优先修补它们
在尽可能早的时刻,以高置度发现探测和攻击
了解可能的攻击者的战术、技术和程序(TTPs),并采取有效的防御措施
识别并纠正业务合作伙伴的安全弱点
检测数据泄露和以企业品牌的钓鱼
在安全方面进行明智的投资,使回报最大化,风险最小化
 
许多IT组织已经创建了情报系统,以获取保护企业和品牌所需的预警和可操作数据。图1-1列出了显示情报系统在安全性和效率方面的显著改进的指标。
notion image
图1-1:情报系统可以在安全性、效率和规模方面产生巨大的改进。(来源:IDC)

情报:可操作的事实和见解

当谈论情报时,有时指的是某些类型的事实(facts)和洞见(insights),有时候则指产生它们的过程。
让我们看看第一种情况。
More than data or information
即使是安全专业人员有时也会交替使用“数据”、“信息”和“情报”,但区别很重要。图1-2突出显示了这些差异。
notion image
图1-2:数据、信息和qingbao之间的区别。
数据由离散的事实和统计数据组成,作为进一步分析的基础。
信息由多个数据点组成,这些数据点被组合起来回答特定的问题。
情报是对数据和信息进行分析的结果,它可以揭示模式并为决策制定提供重要的背景信息。
 
 
 

情报:流程

谁从情报中受益?

第2章:类型和来源

两种类型的情报

威胁数据提要的作用

私人渠道和暗网的作用

第3章:情报生命周期

六个阶段的情报生命周期

工具和人员

第二部分:安全团队的情报应用

第4章:SecOps情报第一部分-分类

SecOps团队的职责

警报数量压倒性

上下文至关重要

缩短“无”的时间

第5章:SecOps情报第二部分-响应

持续挑战

反应问题

最小化事件响应中的反应性

加强事件响应与情报

SecOps情报实践

事件响应所需的SecOps情报基本特征

 

第6章:漏洞情报

数字化的漏洞问题

基于可利用性评估风险

安全团队情报的起源:漏洞数据库

漏洞情报和真实风险

情报来源

交叉参考情报的使用案例

弥合安全、运营和业务领导之间的风险差距

 

第7章:威胁情报第一部分-了解攻击者

我们对“威胁情报”的定义

了解你的敌人

犯罪社区和暗网

连接点

用例:更全面的事件响应

 

用例:积极威胁狩猎

用例:提前警告付款欺诈

 

第8章:威胁情报第二部分 - 风险分析

FAIR风险模型

情报和威胁概率

情报和攻击的财务成本

 

第9章:第三方情报

第三方风险日益严重

传统风险评估不足

寻找第三方情报的关键因素

监控这五个关键风险的第三方公司

应对高度危险的第三方策略

 

第10章:品牌情报

一种不同的检测方式

揭示品牌冒充和滥用的证据

揭示网络违规行为的证据

品牌情报解决方案的关键特质

 

第11章:地缘政治情报

什么是地缘政治风险?

地缘政治情报

谁使用地缘政治情报?

通过围栏定位进行数据收集

数据和信息来源

自动化、分析和专业知识

与地缘政治情报的互动

地缘政治与网络威胁

第12章:欺诈情报

欺诈情报和风险评估

监控卡组合曝光和泄露的凭据

确定受损的共同购买点

监控Magecart和其他攻击的网站

识别信号

欺诈情报的投资回报

 

第13章:身份情报

保护认证

保护身份的计划

被盗身份的来源

高容量分流

使用身份信息

第14章:攻击面情报

您的数字攻击面比您想象的要大

发现互联网暴露资产

分析暴露资

持续监控攻击面

谁使用攻击面情报?

第15章:安全领导者的情报

风险管理

缓解:人员、流程和工具

投资

沟通

支持安全领导者

安全技能差距

第16章:优先考虑新兴威胁的情报

今天为明年做计划

使用攻击生命周期评估风险

Deepfakes: 欺诈的下一个前沿

内部招募欺诈

数据库和网络访问出售

第三部分:创建和扩展您的情报计划

 

第17章:情报分析框架

洛克希德·马丁网络攻击链®

钻石模型

MITRE ATT&CK™框架

第18章:情报数据来源和类型:一个框架

情报数据的框架

初始访问

横向移动,升级和侦察

数据外泄

勒索软件负载投放

灵活的框架

 

第19章:您的情报之旅

不要从威胁源开始

澄清您的情报需求和目标

关键成功因素

简单起步,逐步扩展

第20章:发展核心情报团队

专注但不一定分离

核心能力

收集和丰富威胁数据

与情报社区互动

结论:利用情报打击对手

本书的主要观点